2023年11月24日，西班牙数据保护局（Agencia Española de Protección de Datos）公布《通过生物识别系统管理员工考勤系统的指南》。事实上，在等待数据保护局提出其最终标准前，其他主管局已经相继发布了各自的报告和指南。本次发布的指南首次完整呈现了西班牙数据保护局就上述已出台指南的意见。具体来说，我们现在讨论的是时间控制系统（计时装置）和通过生物识别（使用指纹或通过面部识别系统等登录）控制访问系统。

实际上，在看了数据保护局的意见之后，肯定有不少人认为还不如没有。该指南完全是对所有生物识别系统——特别是在工作场所的考勤和访问控制系统——的摧毁式打击。指南中，数据保护局引用了其迄今为止对该问题已经制定的部分标准，并澄清了在处理数据过程中必须遵守的必要要求。

简单用一句话总结我们的评价，现在，基本不能再进行这类活动。但是，既然仍存在很小的可能性，我们总结了数据保护局新指南的核心内容，列举如下。该总结内容仅关注最重要的内容，并尽可能作出简要解释。

《欧盟通用数据保护条例》原则上禁止处理特定类别的数据，仅在出现条例为此目的规定的特定情形时，才能例外地允许处理。而生物识别数据在用于“识别唯一自然人”时，就属于这类特殊数据。由于这种与识别目的相关的“唯一（uniquely）”的概念，数据保护局的最初解释是，如果生物识别数据用于识别目的，则属于上述特殊类别的数据，但如果其用于认证（authentication）目的，则不能归入该特殊类别。我们无需就此进一步深入研究，因为欧洲数据保护委员会已经澄清，简单来说，如果认证过程中需要识别或同时进行识别的，则生物识别数据应视为被用于识别唯一自然人，这是理解特殊类别数据处理的关键之处。这也是数据保护局现在正在进行的重新考虑之一。

因此，没有必要再考虑时间控制或访问控制过程中究竟是进行认证还是进行识别，因为过程中提取的数据太多了。

所以，有必要看看是否可以因特定情形符合《欧盟通用数据保护条例》规定的例外而免于禁止处理生物识别数据。就此处涉及的两个目的而言，条例允许处理特殊类别数据的例外中，只有两种可能符合：

• 如果已经取得了员工的同意，则必须以明确、具体和自愿的方式告知并取得同意。
• 如果出于履行劳动法和安全社会保障要求的义务或依该法行使相应权利的目的。请注意，这是以已经为员工的权益提供了充分保障的欧盟法律、国家法律或集体合同的授权为前提。

限制

分析后，你会发现这报告简直是一部恐怖电影，甚至连《驱魔人》或《电锯惊魂》系列电影与之相比也成了小儿科。为什么？因为数据保护局在其新指南中几乎完全堵死了上面两种可能：

• 之前，笔者理解这些控制方式有可能是合法的，因为存在相应法律规定：《职工管理法》第20.3条关于访问控制的规定，和第34.9条关于时间控制、考勤或打卡（或者其他称呼）的规定。现在，与其他监管数据处理程序的主管机构的标准保持一致，指南纠正并明确仅有上述法律规定是不够的，因为其并未明确提到“处理生物识别数据”，且未包含应当对系统使用用户（员工）的隐私进行保护的保障条款。
• 指南同时指出，（员工）同意也不能成为这些处理方式合法化的理由。因为在雇主与雇员关系中，应当假定公司处于主导地位，因此员工无法自由表达是否真实同意。
• 即使能够自由决定是否同意，也意味着必须为那些不同意处理其生物识别数据的员工提供替代方案；而如果该替代方案对员工隐私的干涉较小，那就说明使用生物识别数据并非必需。因此，依个人数据最小化原则（禁止非绝对必要情形下使用个人数据），既然使用生物识别数据并非绝对必要，因此不能使用。

结论：在公司中为这类目的（考勤、打卡）而使用生物识别数据，即使并非完全没可能，也将变得非常困难。

这事是否完全无解？我们非常担心，如果没有专门规范使用生物识别数据的控制措施的欧洲或西班牙法律出台，能够在工作场所使用这类数据的唯一可能方案是，与员工协商并在集体合同中写明将收集这类数据，以及公司在使用这类系统时应当实施的保障措施，以确保员工权利。

如果运气好，能够克服第一个障碍，还需要完成数据保护局在该指南中规定的其余要求。而且，要小心，因为这些要求可不少，也不容易遵循，另外它们的适用范围也扩展到工作环境之外的其他可能使用生物识别数据的情况。

因此，如果碰巧立法者想要规范使用生物识别数据的控制系统，请不要跳过对数据保护的影响评估，这将为决定采用这些系统的公司节省一定成本。

【参考】

西班牙数据保护局《通过生物识别系统进行存在控制治疗的指南》（西班牙语）

编译：刘丹，艾萨博睿法律顾问

来源：艾萨博睿（ELZABURU）知识产权

联络我们：elzaburu@elzaburu.es, 3107429780（QQ）, ELZABURU-BJ（微信）